Bilan de Pwn2Own Berlin 2026 : 47 failles critiques exposées

Lors de la conférence OffensiveCon 2026, des chercheurs en sécurité ont remporté près de 1,3 million de dollars en exploitant 47 vulnérabilités “zero-day” sur des logiciels et systèmes d’entreprise majeurs. L’équipe DEVCORE a dominé la compétition en remportant le titre de “Master of Pwn”.

Points clés :

• Récompenses totales : 1 298 250 $ distribués sur trois jours.
• Cibles majeures : Windows 11, Microsoft Exchange, SharePoint, Edge, Red Hat Enterprise Linux, VMware ESXi, NVIDIA Container Toolkit et divers agents de codage basés sur l’IA.
• Performance remarquable : Orange Tsai (DEVCORE) a obtenu la prime maximale de 200 000 $ pour avoir enchaîné trois failles permettant une exécution de code à distance avec privilèges SYSTEM sur Microsoft Exchange.

Vulnérabilités identifiées : L’article ne mentionne pas les identifiants CVE spécifiques, car il s’agit de découvertes récentes qui n’ont pas encore été rendues publiques. Les types de failles exploités incluent :

• Corruption de mémoire (VMware ESXi).
• Élévation locale de privilèges (Windows 11, Red Hat Linux).
• Sortie de bac à sable (Sandbox escape) et bugs de logique (Microsoft Edge).
• Failles dans des environnements cloud-native, conteneurs et outils d’intelligence artificielle.

Recommandations :

• Veille corrective : Les éditeurs concernés disposent d’un délai de 90 jours imposé par la Zero Day Initiative (ZDI) de Trend Micro pour développer et publier des correctifs de sécurité.
• Gestion des patchs : Dès la publication des correctifs, il est impératif d’appliquer les mises à jour de sécurité sur l’ensemble des infrastructures touchées (serveurs Exchange, environnements virtualisés et postes de travail sous Windows/Linux).
• Surveillance : Maintenir une surveillance accrue sur les vecteurs d’attaque ciblés lors de cet événement, particulièrement les technologies de conteneurisation et les outils d’IA intégrés.

Source